Description L'invention présentée concerne un serveur informatique sécurisé pour des applications Web. <B>Il</B> s'agit de contrôler de manière très sûre l'accès par le Web <B>à</B> certaines données et services de systèmes d'information contenus sur le serveur, tout en autorisant l'accès libre<B>à</B> des services non privés. L'ensemble des services concernés comprend<B>:</B> <B>-</B> les bases de données interfacées par le Web <B>-</B> les sites Web <B>-</B> les applications de commerce électronique sur Internet. Les données et services sont implantés sur un serveur accessible soit depuis l'extérieur par Internet soit de l'intérieur depuis un réseau d'entreprise, les deux réseaux d'accès étant attachés<B>à</B> des niveaux de sécurité différents. Les serveurs de réseaux locaux d'entreprise sont usuellement protégés de l'extérieur par des équipements "pare-feu" réseau, matériellement séparés des serveurs. L'accès aux bases de données se fait soit<B>à</B> l'aide de protocoles ne passant généralement pas les pare-feux (ex: SSL) ou par des mécanismes de mot de passe qui sont très vulnérables du point de vue de la sécurité. La séparation pare-feu /serveur est la source de plusieurs problèmes<B>:</B> <B>-</B> configuration complexe du pare-feu qui doit en général gérer des sous-réseaux différents, ce qui fréquemment la cause de failles de sécurité dans les réseaux <B>-</B> la possibilité de modifier la connexion serveur sur les ports TCP/IP du pare-feu, en intervertissant les câbles de connexion. Par ailleurs, les serveurs Web sont placés en zone dite "démilitarisée", accessibles par le protocole HTTP et éventuellement sécurisés par des mécanismes de mot de passe, moyennement robustes même lorsque des protocoles de sécurité du type SSL sont utilisés. Ceci peut devenir critique, lorsque des données sensibles comme les sites commerciaux sont concernés. Le dispositif de l'invention est caractérisé par<B>:</B> <B>- le</B> couplage fort de la fonction pare-feu<B>à</B> la fonction serveur<B>;</B> ce couplage est réalisé grâce<B>à</B> deux éléments<B>:</B> <B>1 .</B> un coffrage physique dans le même boîtier d'une carte n#ud processeur dédié<B>à</B> la fonction pare-feu et de n#uds serveurs<B>;</B> la version la plus simple comprend deux n#uds (cluster bi-nodal), dont un n#ud est réservé au pare-feu et un n#ud aux applications serveur (figure<B>1)</B> 2. la configuration du système d'exploitation du serveur et du pare-feu pour ne permettre l'échange du serveur avec<B>le</B> pare-feu<B>;</B> ceci peut se faire en introduisant des paramètres uniques, liés<B>à</B> la configuration matérielle des composants du système (exemples<B>:</B> adresse Ethernet des cartes réseaux, numéro du processeur unique). Description The invention disclosed relates to a secure computer server for web applications. <B> It </ B> is to control very securely the access by the Web <B> to some data and services of information systems contained on the server, while allowing the free access <B> to </ B> non-private services. All of the services involved include: <B> - </ B> - databases interfaced by the Web <B> - </ B> Web sites <B> - </ B> e-commerce applications on the Internet. The data and services are located on an accessible server either from the outside via the Internet or from within an enterprise network, the two access networks being attached <B> to </ B> different levels of security . Enterprise LAN servers are usually shielded from the outside by network firewall appliances that are physically separate from the servers. Access to databases is done either by using protocols that do not usually pass firewalls (eg. SSL) or by password mechanisms that are very vulnerable from the point of view. from a security perspective. The firewall / server separation is the source of several problems: <b> - </ b> <b> - </ b> - Complex configuration of the firewall that usually has to handle different subnets, which frequently because of security vulnerabilities in networks <B> - </ B> the possibility of modifying the server connection on the TCP / IP ports of the firewall, by swapping the connection cables. In addition, the Web servers are placed in so-called "demilitarized" zone, accessible by the HTTP protocol and possibly secured by password mechanisms, moderately robust even when security protocols of the SSL type are used. This can become critical when sensitive data like commercial sites are concerned. The device of the invention is characterized by <B>: </ B> <B> - the </ B> strong coupling of the firewall function <B> to </ B> the server function <B> < / B> this coupling is done thanks to <B> to </ B> two elements <B>: </ B> <B> 1. </ B> a physical formwork in the same case of a card n # of processor Dedicated to the firewall and server node function, the simplest version includes two nodes (two-nodal cluster), one of which is a node. is reserved for the firewall and a n # ud for server applications (figure <B> 1) 2. the server operating system and firewall configuration to allow the exchange of the server with <B> the <b> firewall <B>; </ B> this can be done by introducing unique parameters, linked <B> to the hardware configuration of the system components (examples <B> Ethernet address of the network cards, unique processor number).
<B>-</B> l'usage d'un protocole tunnel sur le protocole HTTP permettant d'établir une communication chiffrée et signée entre le serveur et un client accédant<B>à</B> des données ou des services depuis un terminal connecté<B>à</B> Internet (extérieur<B>(1 ;</B> les droits d'accès au services sont introduits sur le serveur de manière personnalisée pour chaque terminal utilisateur configuré <B>;</B> la configuration de sécurité consiste<B>à</B> générer une paire de clés publique /privée et<B>à</B> transmettre la clé publique au serveur sécurisé. L'administrateur du serveur peut alors définir les droits attachés<B>à</B> ce terminal particulier. <B>De</B> plus, le serveur utilise des configurations<B>de</B> protection prédéfinies, avec un paramétrage simple et un nombre limité de services autorisés sur le serveur. Ceci permet de limiter les risques de faille de protection dues<B>à</B> un mauvais paramétrage du pare-feu<B>à</B> l'installation de services. Les services autorisés doivent en effet être signés par le fournisseur, qui garantit leur intégrité. <B>Ce</B> type<B>de</B> serveur peut être exploité pour des applications de commerce électronique en entreprise ou chez un hébergeur d'applications Internet. <B> - </ B> use of a tunnel protocol over the HTTP protocol to establish an encrypted and signed communication between the server and a client accessing <B> to </ B> data or services from a terminal connected to <B> to </ B> Internet (outside <B> (1; </ B>) The service access rights are entered on the server individually for each configured user terminal <B>; </ B> The security configuration is to generate a public / private key pair and to pass the public key to the secure server, and the server administrator can set the rights. Attached to this particular terminal. <B> De </ B> Plus, the server uses predefined protection <B> settings, with simple setup and a limited number of authorized services On the server, this limits the risk of a protection flaw due to a bad setting of the firewall <B> to </ B> the installation of Authorized services must be signed by the supplier, who guarantees their integrity. <B> This <B> type <B> of </ B> server can be exploited for business e-commerce applications or at an Internet application hosting provider.
Un tel serveur a été réalisé avec un boîtier serveur intégrant deux blocs accueillant des cartes<B>PC,</B> disposant d'une double alimentation redondée, selon la configuration figure<B>1,</B> sous l'appellation de serveur "WebShield" (bouclier-Web) <B>.</B> La fonction de couplage logique a été réalisée en utilisant un câble Ethernet inversé direct (2) pour connecter en direct les deux cartes des n#uds (fig2). L'invalidation du protocole ARP et le forçage de la résolution adresse IP <B>-></B> adresse Ethernet par paramétrage d'un fichier système permettent<B>.</B> de durcir<U>le-</U> cloupLage. Une connexion sur réseau, séparée sur le pare-feu<B>(3/1),</B> permet de connecter optiormellement le serveur<B>à</B> un réseau privé. L'accès depuis le réseau privé peut fonctionner en HTTP ou avec d'autres protocoles selon les configurations autorisées. Le pare-feu peut, en outre, servir de passerelle de sécurité du réseau interne vers Internet (exemple<B>:</B> masquage d'adresse du réseau interne vers le réseau externe, de même que les n#uds serveurs peuvent servir de passerelle de services vers Internet (messagerie, proxy-HTTP, <B>... ).</B> Le tunnel sécurisé, permettant<B>à</B> un utilisateur d'accéder depuis un réseau extérieur (exemple l'Internet) des services Web protégés (exemple<B>:</B> mise à jour de bases ou visibilité d'informations privées), est réalisé <B>-</B> côté client<B>:</B> par un module d'extension (4/1) pour navigateur, formatant /déformatant des messages en langage XML et réalisant le chiffrement /déchiffrement des champs désirés <B>-</B> côté serveur<B>:</B> par une module de tannelage couplé au serveur HTTP <B>(7/1)</B> qui vérifie l'identité des clients par signature électronique, le chiffrement /déchiffrement des échanges et la signature des messages vers le terminal client<B>;</B> les droits sont définis dans une base de données du serveur<B>(6/1),</B> gérée par un administrateur local du serveur.Such a server was made with a server housing incorporating two blocks hosting cards <B> PC, </ B> with a double redundant power supply, according to the configuration figure <B> 1, </ B> under the name "WebShield" server (Web Shield) <B>. </ B> The logical coupling function has been realized using a direct inverted Ethernet cable (2) to connect the two node cards directly (fig2) . Disabling the ARP protocol and forcing the IP address resolution <B> -> </ B> Ethernet address by setting a system file allow <B>. </ B> to harden <U> the - </ U> cloupLage. A separate network connection on the firewall <B> (3/1), </ B> allows you to connect the server <B> to a private network. Access from the private network can operate in HTTP or with other protocols depending on the allowed configurations. In addition, the firewall can serve as a security gateway from the internal network to the Internet (eg, <B>): masking the address from the internal network to the external network, as well as the server nodes. serve as a service gateway to the Internet (messaging, proxy-HTTP, <B> ...). </ B> The secure tunnel, allowing a user to access from an external network (example the Internet) Protected Web services (for example, <B>: </ B> update databases or private information visibility) is performed <B> - </ B> on the client side <B>: </ B > by a browser extension module (4/1), formatting / deformatting messages in XML language and performing the encryption / decryption of the desired <B> - </ B> server side <B>: </ B> by a tanning module coupled to the HTTP server <B> (7/1) </ B> which verifies the identity of the customers by electronic signature, the encryption / decryption of the exchanges and the signature of the messages to the ter minal client <B>; </ B> rights are defined in a server database <B> (6/1), managed by a local administrator of the server.
D'autres réalisations sont possibles en utilisant côté client un serveur mandataire réalisant le tunnel chiffré (figure<B>3).</B> Dans ce cas, le dispositif permet de réaliser un réseau privé virtuel entre les deux serveurs et d'attacher des droit d'accès<B>à</B> des services par réseau utilisateur distant sur les serveurs sécurisés. Other implementations are possible by using a proxy server running the encrypted tunnel on the client side (Figure <B> 3). In this case, the device makes it possible to create a virtual private network between the two servers and to attach access rights to remote user network services on secure servers.